Exploração

As explorações aproveitam as vulnerabilidades de software, ocultas no código do sistema operacional e de seus aplicativos, que os criminosos cibernéticos usam para obter acesso ilícito ao seu sistema.

BAIXE ANTIVÍRUS GRATUITO

O que você precisa saber sobre exploits de computador

Exploits de computador. O que são e por que você deve se importar?

Você já reparou como os desenvolvedores de software estão sempre corrigindo e atualizando seus softwares, às vezes lançando atualizações apenas dias após o lançamento inicial?

Isso ocorre porque todo software que você possui e possuirá em sua vida terá vulnerabilidades que os cibercriminosos podem encontrar e explorar — ou seja, "explorar". Não existe software sem exploits — sempre haverá brechas. O software de computador é tão sólido quanto um bloco de queijo suíço.

Por meio de exploits, os cibercriminosos podem acessar seu computador e roubar informações sensíveis ou instalar malware. Apesar de uma desaceleração na atividade de exploits, os cibercriminosos continuam a recorrer a esse método furtivo de ataque. Com isso em mente, agora é o momento perfeito para nos educarmos sobre o assunto e nos protegermos de acordo. Então, role para baixo, leia e aprenda tudo o que você precisa saber sobre exploits de computador.

O que é um exploit? Definição de exploit

Um exploit de computador é um tipo de malware que aproveita bugs ou vulnerabilidades, que os cibercriminosos usam para obter acesso ilícito a um sistema. Essas vulnerabilidades ficam ocultas no código do sistema operacional e de suas aplicações, apenas esperando serem descobertas e utilizadas por cibercriminosos. Softwares comumente explorados incluem o próprio sistema operacional, navegadores, Microsoft Office e aplicativos de terceiros. Às vezes, os exploits são agrupados por grupos criminosos em um chamado "exploit kit". Exploit kits facilitam o uso de exploits e a disseminação de malware por criminosos com conhecimento técnico limitado.

Para entender melhor o que são exploits, pode ajudar pensar nos cilindros de bloqueio de bicicleta e laptop caros que eram populares no início dos anos 2000. As pessoas pagavam cerca de US $ 50 por esses bloqueios, pensando que eles mantinham suas coisas seguras, até que alguém postou um vídeo online mostrando como esses bloqueios poderiam ser violados em questão de segundos usando uma caneta Bic barata e facilmente disponível.

Isso forçou os fabricantes de fechaduras a atualizar seus produtos, e os consumidores tiveram que atualizar para as novas fechaduras à prova de arrombamento. Este é um exemplo tangível de exploração de um sistema de segurança físico. No que se refere ao software, os cibercriminosos estão em busca de truques inteligentes, assim como o cara da caneta Bic, que lhes permitam acessar computadores, dispositivos móveis e redes de outras pessoas.

Os ataques de exploit muitas vezes começam com malspam e downloads furtivos. Os cibercriminosos enganam as vítimas desprevenidas para que abram um anexo de e-mail infectado ou cliquem em links que redirecionam para um site malicioso. Anexos infectados, muitas vezes um documento do Word ou PDF, conterão código exploit projetado para explorar fraquezas do aplicativo.

Os downloads furtivos aproveitam as vulnerabilidades em seu navegador, como Internet Explorer ou Firefox, por exemplo, ou nos plug-ins executados dentro dele, como o Flash. Você pode visitar um site que já visitou com segurança no passado, mas desta vez o site foi hackeado e você não saberá. Alternativamente, você pode clicar em um link malicioso em um e-mail de spam que leva você a uma versão falsa de um site familiar.

E em instâncias particularmente complicadas, você pode visitar um site legítimo exibindo um anúncio ou pop-up infectado com malware — também conhecido como malvertising. Ao visitar o site, o código malicioso na página da web trabalhará invisivelmente em segundo plano para carregar malware em seu computador.

Os cibercriminosos utilizam exploits como um meio para alcançar fins maliciosos, variando de problemas irritantes a incômodos paralisantes. Eles podem tentar colocar os recursos do seu computador para trabalhar em um botnet zumbi para fins de um ataque DDoS ou para minerar Bitcoin (cryptojacking).

Alternativamente, podem tentar instalar adware e inundar sua área de trabalho com anúncios. Podem querer acessar seu sistema e roubar dados diretamente ou instalar malware para coletar dados de você secretamente com o tempo (spyware). Finalmente, podem instalar malware que criptografa todos os seus arquivos e exigir pagamento em troca da chave de criptografia (ransomware).

O que é um exploit zero-day?

Zero-day! O único dia do ano em que nós paramos para reconhecer aquele pequeno e modesto zero. Quem dera isso fosse verdade. Na verdade, um exploit zero-day, também conhecido como exploit zero-hour, é uma vulnerabilidade de software que ninguém conhece, exceto o cibercriminoso que a criou, e para o qual não há correção disponível. Assim que um exploit se torna de conhecimento público, ele deixa de ser zero-day. Às vezes, um exploit conhecido é referido como um exploit n-day, indicando que um ou mais dias se passaram desde que o exploit foi divulgado.

Assim que um exploit zero-day se torna informação pública, os fabricantes de software estão em uma corrida contra os criminosos para corrigir o exploit antes que eles possam se aproveitar e colher os benefícios. Felizmente, os pesquisadores têm princípios. Se os pesquisadores encontram um exploit antes dos criminosos, eles geralmente relatam a falha ao fabricante e dão-lhes a chance de corrigi-la antes de divulgar para o público (e para os criminosos) em geral.

Procurar proativamente por exploits tornou-se um esporte para alguns hackers. No evento anual Pwn2own, especialistas em exploits ganham prêmios e dinheiro por hackearem com sucesso softwares populares em várias categorias, incluindo navegadores e aplicativos empresariais. Como demonstração de seu interesse na segurança de software, a Microsoft e a VMware patrocinaram o evento Pwn2own em 2018.

Sobre os fabricantes de software que são proativos em encontrar e corrigir explorações, David Sanchez, Engenheiro de Pesquisa Principal da Malwarebytes, disse: “É verdade que a Microsoft e outros fabricantes de software estão trabalhando muito para proteger suas aplicações como o Office e explorá-las tem se tornado difícil — quase impossível. Os profissionais de segurança e cibercriminosos ainda encontram uma maneira de explorá-las com sucesso. 100 por cento de segurança é apenas uma ilusão, mas os aplicativos Malwarebytes protegem as pessoas o máximo possível para alcançar esse 100 por cento.”

“100 por cento de segurança é apenas uma ilusão. Os aplicativos Malwarebytes protegem as pessoas o mais perto possível desse 100 por cento.”
– David Sanchez
Engenheiro de Pesquisa Principal da Malwarebytes

História dos exploits de computador

Os exploits são tão antigos quanto a computação. Como apontamos, todo software tem vulnerabilidades e ao longo dos anos houve alguns realmente marcantes. Aqui está um resumo rápido de alguns dos exploits de computador mais notáveis.

Nossa exploração dos maiores (ou seja, piores) exploits do mundo começa em 1988 com o verme Morris, um dos primeiros vermes e exploits de computador. Nomeado em homenagem ao seu criador Robert Tappan Morris, o verme epônimo foi projetado para descobrir quão grande era a Internet naqueles anos formativos iniciais, usando várias vulnerabilidades para acessar contas e determinar o número de computadores conectados a uma rede.

O verme perdeu o controle, infectando computadores várias vezes, executando várias cópias do verme simultaneamente até que não sobrassem recursos para os usuários legítimos. O verme Morris efetivamente se tornou um ataque DDOS.

O verme SQL Slammer tomou o mundo de assalto em 2003, reunindo cerca de 250.000 servidores que executavam o software SQL Server da Microsoft em seu botnet. Uma vez que um servidor foi infectado, ele usaria um estilo de ataque aleatório, gerando endereços IP aleatórios e enviando código infectado para esses endereços. Se o servidor alvo tivesse o SQL Server instalado, ele também seria infectado e adicionado ao botnet. Como resultado do SQL Slammer, 13.000 caixas eletrônicos do Bank of America ficaram off-line.

O verme Conficker de 2008 é notável por algumas razões. Primeiro, ele reuniu muitos computadores em seu botnet — supostamente 11 milhões de dispositivos no auge. Em segundo lugar, o Conficker popularizou um tipo de subterfúgio que os vírus usam para evitar a detecção chamado Algoritmo Gerador de Domínios (DGA). Em resumo, a técnica DGA permite que um malware se comunique infinitamente com seu servidor de comando e controle (C&C) gerando novos domínios e endereços IP.

Projetado para atacar o programa nuclear do Irã, o verme Stuxnet de 2010 aproveitou-se de várias vulnerabilidades zero-day no Windows para obter acesso a um sistema. A partir daí, o verme poderia se replicar automaticamente e se espalhar de um sistema para outro.

Descoberto em 2014, o exploit Heartbleed foi usado para atacar o sistema de criptografia que permite que computadores e servidores se comuniquem de maneira privada. Em outras palavras, cibercriminosos poderiam usar o exploit para escutar suas conversas digitais. O sistema de criptografia, chamado OPEN SSL, era usado em 17,5% ou meio milhão de servidores web “seguros”. Isso representa muitos dados vulneráveis.

Como isso é um problema para os sites que você visita (do lado do servidor), em vez de um problema no seu computador (do lado do cliente), cabe aos administradores de rede corrigir esse exploit. A maioria dos sites reputáveis fez correções para esse exploit há anos, mas nem todos, então ainda é um problema a ser considerado.

2017 foi um ano marcante para o ransomware. Os ataques de ransomware WannaCry e NotPetya aproveitaram os exploits do Windows EternalBlue/DoublePulsar para invadir computadores e manter dados como reféns. Combinados, esses dois ataques causaram US$ 18 bilhões em danos ao redor do mundo. O ataque NotPetya em particular temporariamente paralisou — entre muitos outros — uma fábrica de chocolate da Cadbury e o fabricante de preservativos Durex. Os hedonistas ao redor do mundo prenderam a respiração coletiva até que o exploit fosse corrigido.

O ataque à Equifax em 2017 poderia ter sido evitado se a agência de crédito tivesse feito um esforço maior para manter o software atualizado. Nesse caso, a falha de software que os cibercriminosos usaram para invadir a rede de dados da Equifax já era bem conhecida e havia um patch disponível. Em vez de corrigir as coisas, a Equifax e seu software desatualizado permitiram que cibercriminosos roubassem informações pessoais de centenas de milhões de clientes dos EUA. "Obrigado."

Agora, antes que você, usuários da Apple por aí, comece a pensar que Macs não são suscetíveis a ataques baseados em exploits, considere a falha de root de 2017 que permitia que cibercriminosos simplesmente digitassem a palavra "root" no campo de nome de usuário e pressionassem retornar duas vezes para obter acesso total ao computador. Esse bug foi rapidamente corrigido antes que os cibercriminosos pudessem tirar proveito, mas isso só mostra que qualquer software pode ter bugs exploráveis. A propósito, relatamos que exploits de Mac estão em ascensão. Até o final de 2017, havia 270% mais ameaças únicas na plataforma Mac do que em 2016.

Ultimamente, tem havido poucas notícias no mundo dos exploits de navegador. Por outro lado, os kits de exploit do Office estão em alta. Desde 2017, notamos um aumento no uso de kits de exploit baseados no Office. Foi no outono daquele ano que relatamos pela primeira vez sobre vários exploits inovadores do Word, incluindo um escondido em avisos falsos do IRS e outro ataque zero-day escondido em documentos do Word — exigindo pouca ou nenhuma interação da vítima para iniciar.

Estamos agora vendo um novo tipo de kit de exploit do Office que não depende de macros; ou seja, código especial incorporado no documento para fazer seu trabalho sujo. Este kit de exploit, em vez disso, usa o documento como um disfarce enquanto aciona um download automático que implanta o exploit.

Mais recentemente, os cibercriminosos estão implantando malware sem arquivo, assim chamado porque esse tipo de malware não depende de código instalado no computador alvo para funcionar. Em vez disso, o malware sem arquivo explora os aplicativos já instalados no computador, efetivamente armando o computador contra si mesmo e contra outros computadores.

“Malware sem arquivo explora os aplicativos já instalados no computador, armando efetivamente o computador contra si mesmo e contra outros computadores.”

Exploits em dispositivos móveis: Android e iOS

A maior preocupação para os usuários móveis é instalar aplicativos que não foram aprovados pelo Google e pela Apple. Baixar aplicativos fora da Google Play Store e da App Store da Apple significa que os aplicativos não foram verificados pelas respectivas empresas. Esses aplicativos não confiáveis podem tentar explorar vulnerabilidades no iOS/Android para acessar seu dispositivo móvel, roubar informações sensíveis e realizar outras ações maliciosas.

Como posso me proteger contra exploits?

Exploits podem ser assustadores. Isso significa que devemos jogar nossos roteadores pela janela e fingir que estamos na era das trevas pré-internet? Certamente que não. Aqui estão algumas dicas se você quiser ser proativo sobre a proteção contra exploits.

  1. Mantenha-se atualizado. Você atualiza regularmente seu sistema operacional e todos os vários aplicativos que você instalou? Se você respondeu não, pode ser uma vítima potencial para cibercriminosos. Após um exploit zero-day se tornar conhecido pelo fornecedor de software e um patch ser lançado, cabe ao usuário individual corrigir e atualizar seu software. De fato, os exploits zero-day tornam-se mais perigosos e difundidos após se tornarem conhecimento público, porque um grupo mais amplo de atores de ameaça aproveita o exploit. Verifique com seus fornecedores de software e veja se há atualizações ou patches disponíveis. Se possível, vá para as configurações de seu software e ative as atualizações automáticas para que essas atualizações aconteçam automaticamente em segundo plano sem esforço extra da sua parte. Isso eliminará o tempo de atraso entre quando uma vulnerabilidade é anunciada e quando é corrigida. Os cibercriminosos se aproveitam das pessoas que esquecem ou simplesmente não sabem que precisam atualizar e corrigir seu software.
  2. Atualize seu software. Em alguns casos, um aplicativo de software se torna tão antigo e inflexível que o fabricante deixa de oferecer suporte (abandonware), o que significa que quaisquer bugs adicionais descobertos não serão corrigidos. Seguindo de perto o conselho anterior, certifique-se de que seu software ainda é suportado pelo fabricante. Se não for, atualize para a versão mais recente ou mude para algo que faça a mesma coisa.
  3. Fique seguro online. Certifique-se de que o Microsoft SmartScreen ou o Google Safe Browsing estejam ativados para o navegador de sua escolha. Seu navegador verificará cada site que você visitar contra as listas negras mantidas pela Microsoft e Google e o afastará de sites conhecidos por disseminar malware. Ferramentas anti-malware eficazes como, por exemplo, Malwarebytes, também bloquearão sites nocivos, oferecendo várias camadas de proteção.
  4. Use ou perca. Hackers vão hackear. Não há muito que possamos fazer sobre isso. Mas se não houver software, não haverá vulnerabilidade. Se você não está mais usando o software, exclua-o do seu computador. Hackers não podem invadir algo que não está lá.
  5. Instale aplicativos autorizados. Quando se trata de se manter seguro em seu dispositivo móvel, fique apenas com aplicativos autorizados. Há momentos em que você pode querer sair da App Store e da Google Play Store, como quando está testando antecipadamente um novo aplicativo, mas você deve ter certeza absoluta de que pode confiar no desenvolvedor do aplicativo. Falando de forma geral, contudo, fique com aplicativos aprovados que foram verificados pela Apple e pelo Google.
  6. Use software anti-exploit. Então você tomou todas as precauções necessárias para evitar ataques baseados em exploits. E os exploits de zero-day? Lembre-se, um exploit de zero-day é uma vulnerabilidade de software que apenas os cibercriminosos conhecem. Não há muito que possamos fazer para nos proteger das ameaças que desconhecemos. Ou será que há? Um bom programa anti-malware, como o Malwarebytes para Windows, Malwarebytes para Mac, Malwarebytes para Android, ou Malwarebytes para iOS, pode reconhecer proativamente e bloquear software malicioso de tirar vantagem de vulnerabilidades no seu computador utilizando análise heurística do ataque. Em outras palavras, se o programa de software suspeito estiver estruturado e se comportar como malware, o Malwarebytes irá sinalizá-lo e colocá-lo em quarentena.

Como os exploits afetam meu negócio?

De muitas maneiras, sua empresa apresenta um alvo de maior valor para cibercriminosos e exploits do que um consumidor individual — mais dados para roubar, mais para manter como refém e mais pontos de ataque.

Pegue, por exemplo, o ataque à Equifax. Nesse caso, os cibercriminosos usaram um exploit no Apache Struts 2 para ganhar acesso à rede da Equifax e escalar seus privilégios de usuário. Uma vez na rede, se tornaram os administradores do sistema, ganhando acesso a dados sensíveis de milhões de consumidores. Ninguém sabe o impacto total do ataque à Equifax, mas pode acabar custando milhões à agência de crédito. Há uma ação coletiva em andamento e indivíduos estão levando a Equifax para o tribunal de pequenas causas também, ganhando até US $8.000 por caso.

Além da escalada de privilégios, explorações podem ser usadas para implantar outros malware - como foi o caso do ataque de ransomware NotPetya. NotPetya se espalhou pela Internet atacando tanto indivíduos quanto empresas. Usando as explorações de Windows EternalBlue e MimiKatz, NotPetya conseguiu uma entrada em uma rede e se espalhou de computador para computador, bloqueando cada ponto de extremidade, criptografando dados dos usuários e trazendo negócios a uma paralisação total. Computadores, smartphones, telefones de mesa VOIP, impressoras e servidores foram todos inutilizados. Os danos totais para empresas ao redor do mundo foram estimados em 10 bilhões de dólares.

Então, como você pode proteger seu negócio? Você precisa eliminar as fraquezas no seu sistema com uma boa estratégia de gerenciamento de patches. Aqui estão algumas coisas a serem consideradas ao tentar descobrir o que é melhor para sua rede.

  • Implemente a segmentação de rede. Espalhar seus dados em sub-redes menores reduz sua área de ataque - alvos menores são mais difíceis de atingir. Isso pode ajudar a conter uma violação a apenas alguns pontos de extremidade em vez de toda a sua infraestrutura.
  • Aplique o princípio do menor privilégio (PoLP). Em resumo, dê aos usuários apenas o nível de acesso necessário para realizar suas tarefas, e nada mais. Novamente, isso ajuda a conter danos de violações ou ataques de ransomware.
  • Mantenha-se atualizado com as atualizações. Fique de olho na Terça-feira de Correções e planeje-se em torno dela. O Microsoft Security Response Center mantém um blog com todas as informações mais recentes sobre atualizações. Você também pode assinar seu boletim informativo por e-mail para ficar informado sobre o que está sendo corrigido a cada mês.
  • Priorize suas atualizações. O dia após a Terça-feira de Correções é às vezes chamado de (com a língua firmemente na bochecha) Quarta-feira de Explorações. Os cibercriminosos ficam cientes de possíveis explorações e a corrida para atualizar os sistemas começa antes que eles tenham a chance de atacar. Para acelerar o processo de atualização, considere lançar atualizações em cada ponto de extremidade a partir de um agente central, em vez de deixar ao encargo de cada usuário final.
  • Faça auditoria das suas atualizações depois de aplicadas. As correções deveriam consertar softwares, mas às vezes acabam quebrando coisas. Vale a pena seguir verificando para garantir que as correções que você aplicou na sua rede não pioraram as coisas, e desinstalar se necessário.
  • Livre-se do abandonware. Às vezes é difícil se desfazer de software antigo que já passou da sua validade - especialmente em um grande negócio onde o ciclo de compras se move lentamente, mas software descontinuado é, na verdade, o pior cenário para qualquer administrador de rede ou sistema. Cibercriminosos buscam ativamente sistemas que executam software desatualizado e obsoleto, então substitua-o o mais rápido possível.
  • Claro, um bom software de segurança de endpoint é uma parte essencial de qualquer programa de proteção contra exploits. Considere o Malwarebytes. Com Malwarebytes Endpoint Protection e Malwarebytes Endpoint Detection and Response, temos uma solução para todas as suas necessidades de segurança empresarial.

Finalmente, se tudo isso não saciou sua sede de conhecimento sobre exploits, você sempre pode ler mais sobre exploits no blog Malwarebytes Labs.

Notícias sobre exploits


Avaliações de kits de exploração: 

Kits de exploração: análise da primavera de 2019
Kits de exploração: análise do inverno de 2019
Kits de exploração: análise do outono de 2018
Kits de exploração: análise do verão de 2018
Kits de exploração: análise da primavera de 2018
Kits de exploração: análise do inverno de 2018
Leia mais notícias sobre explorações e vulnerabilidades no blog Malwarebytes Labs .